“第16届政府_行业信息化安全年会”在京召开.pdf

1、NETINFOSECURITY网域动态2024年第1 期“第16 届政府行业信息化安全年会”在京召开2023年12 月8 日一9 日，由公安部第三研究所主办的“第16 届政府/行业信息化安全年会”在北京召开。大会以“加强网络安全防护体系建设”为主题，与会专家共同探讨等级保护关键技术、关键信息基础设施防护、数据安全等方面的新技术、新应用和发展态势，为推进我国网络安全发展建言献策。公安部第三研究所副所长李建，中国计算机学会计算机安全专委会荣誉主任、公安部研究员严明，应急管理部大数据中心副主任房玉东，中国网络安全审查技术与认证中心原党委书记、副主任王连印，国家能源局电力管理和监督中心原副主任胡红升等

2、多家部委、央企、研究机构负责信息安全工作的领导、专家，以及网络安全企业参加本次会议。会议伊始，公安部第三研究所副所长李建致欢迎辞，拉开大会惟幕。他指出，为加强网络安全防护体系建设，需要充分利用大数据、物联网、人工智能等新兴技术，提升等级保护关键技术、关键信息基础设施防护能力和响应速度，将数据安全流动和数据价值发挥相结合，推动我国网络强国战略的实施和数字经济的健康良性发展。本届会议由中国计算机学会计算机安全专委会荣誉主任、公安部研究员严明主持。在主题演讲环节，中国国家铁路集团公司科信部信息化处处长周亮瑾围绕“筑牢网络安全防线，保障铁路高质量发展”主题，分享了在构建铁路网络安全保障体系方面的独到见

3、解。他指出，要构建大安全观，将网络安全与铁路运输生产安全放在同等重要位置。同时，不断强化人防+物防+技防的“三位一体”网络安全保障体系。杭州安恒信息技术股份有限公司高级副总裁、首席安全官袁明坤就“新一代安全运营中心和大模型在亚运安保中的应用”进行了详细介绍。该公司助力2 0 2 2 年杭州亚运会网络安全保障实现零事故，是继成都世界大学生运动会后，又一次在国际赛事中应用AI安全垂域大模型。通过大模型技术固化安全专家专业知识，以数字身份扮演安全运营角色基于授权策略，实现全天候值守。中国电建华科软公司运维事业部安全总监陈源结合自身的行业经验，作了“关于中国电建网络安全实践经验和未来工作计划”的分享。

4、他提到，主机安全加固系统在防守行动中发挥了重要作用，通过主机安全RASP插件和系统敏感命令监测，可有效发现处置攻击行为，巩固了集团纵深防御体系最后一道防线。未来，在全面加快数字化转型的同时，将持续构建一体化、集约化的数字安全防控防御体系，为“数字电建”保驾护航。中国民航信息网络股份有限公司安质部信息安全管理处处长衡闻琦分享了中国航信网络安全制度与保障体系建设实践。他介绍，为进一步规范数据安全管理，制定了中国航信旅客数据安全管理规定及细则,其中明确了数据收集，存储、使用、加工、传输等各个环节的原则，以及旅客个人数据的分类分级标准。北京酷德啄木鸟信息技术有限公司总经理杨临庆在以“固本清源，从代码源

5、头保障关基软件供应链安全”为题的演讲中提出，为保障供应链的安全，可利用软件成分分析技术，获取开发过程中软件所使用的各种源码、模块、框架和库，以识别和清点开源软件的组件及其构成和依赖关系，并精准识别系统中存在的已知安全漏洞或者潜在的许可证授权问题。北京锐安科技有限公司安全业务专家崔洪宇讲述了“城市数字安全防护理念”，即以数据安全为核心统筹设计并部署安全防护体系，技防+人防，实现城市大数据纵深安全防护体系。如增强底层数据库安全防护能力，实现数据底层的安全管控和审计，落实数据分类分级、大数据安全零信任防护能力，实现DaaS层数据的细粒度权限管控。会议还开设了以“数据安全共享”为议题的圆桌讨论，由国家

6、能源局电力管理和监督中心原副主任胡红升主持。教育部信息中心电子政务处处长安宏指出，教育系统的网络安全存在较大风险，数据安全共享面临诸多问题。在教育系统数据分类分级落地过程中，呕需国家有关部门出台相应政策法规，明确监管机制，以实现在安全可控的前提下，促进教育系统数据的有序共享开放和深人运用。中国农业银行总行科技与产品管理局信息安全与风险管理处处长何启翱结合十余年数据领域从业经验，分享了在接口数据安全领域的实践成果，“数据安全保护体系建设无法一而就，而逐步落地的第一步就是边界保护。首先要识别数据边界，进而才能完成边界防护体系的建设。”“在数据安全共享领域最大的难题是，缺乏关于数据权重的核心概念一一

7、什么样的数据在什么样的场景下才能真正使用。”天融信科技集团助理总裁李建彬介绍，实际应用方面，将在原有数据分类分级清单的基础上进一步匹配数据权重。针对数据防泄露、防窃取问题，北京兰云科技有限公司董事长易建超分享了所取得的技术成果，即兰溯数据泄露监160NETINFOSECURITY2024年第1期网域动态测与分析取证解决方案一一全量采集并留存原始流量，还原泄密场景，进行敏感信息泄露的监测和泄密事件的分析、取证。在以“等保和关基基础上的数据安全”为主题的专题报告上，中国计算机学会计算机安全专委会荣誉主任、公安部研究员严明阐述了关于数据安全和信创的几个话题。他讲到，从“资源”到“资产”再到“资本”，

8、是数据应用的两次飞跃。那么，要实现数据资产化，就要解决好数据的定性、定价值和流通的监管问题，这是基础也是难点。值得一提的是，我国网络安全法是从信息安全的角度来规制数据安全，同时“数据二十条”的发布和国家数据局的成立也表明了我国在这方面的高瞻远瞩和决心。中国网络安全审查技术与认证中心原党委书记、副主任王连印针对数据保护工作，提出应建立全生命周期的技术体系。他分析，在科技创新应用中，数据是基础、是对象、是核心、是纽带、是资源、是要素，贯穿始终。因此，加强数据保护、保障安全合规尤为重要。那么，从数据的产生、采集、传输、存储、交换、共享、分析、使用、销毁的每个环节，都需做好研发设计和数据保护。要在产品

9、供给侧下更大功夫，而非把问题留给需求侧。国家电子政务外网管理中心办公室安全管理处处长罗海宁以当前广受关注的大模型发展态势为观察视角，作了“大模型助力政务外网安全能力智能化”主题演讲。他介绍，大模型带来的新型网络安全挑战更大，网络攻击手段迅速升级，攻防两端鸿沟加剧。加快大模型在网络安全领域的应用极其重要但尚未成型。因此，需尽早组织行业专家开展大模型实践，即从预训练到微调及部署推理。目前，政务外网形成了网络安全大模型建设思路一一将通过政务外网网络安全流量日志等源数据形成安全元数据语料，对大模型进行模型参数输入，并在预训练阶段输入政务外网场景认知，在网络安全大模型的基础上，打造政务外网全网网络安全大

10、模型，服务于各级数字政府体系。北京亦心科技有限公司总经理韦祖兴的演讲主题为“图像隐藏的秘密一一兼谈图像处理工具国产化的必要性”，他详细分析到，图像中隐藏着大量的秘密，包括地址信息、成果数据等。因此，专业图像处理软件国产化是必然趋势，这样才能避免受制于人，提高信息安全可控度，同时更好地配合国家战略的实施。目前，国内市场呕需专业图像处理软件，来全面替代AdobePhotoShop的专业图像处理软件。国家能源集团国能数智科技公司IT基础服务事业部副总经理牛月坤针对该集团数据安全保护实践经验进行了分享。他提到，要建设数据安全防线，多视角推进数据安全建设。具体包括，持续完善资产分类分级，推进能源行业标准

11、制定；落实安全与业务并重，构建数据安全管理体系；创新先进技术和工具，让管理更加智能快捷等。此外，公安部网络安全等级保护评估中心副主任陈广勇、公安部第三研究所密码技术处总工程师倪力舜，分别就“关键信息基础设施保护”和“密码在关键信息基础设施中的应用体系”进行了详细介绍。北京红山瑞达科技有限公司总经理朱代祥针对企业网络安全意识与技能提升的方法进行分享，他指出，应进行体验化培训，针对邮件钓鱼开展实战化演练，量化评价网络安全意识能力，完成平台化覆盖，并持续加强网络安全常态化宣传教育。广东盈世计算机科技有限公司常务副总裁吴秀诚介绍，邮件数据安全面临的主要外部威胁有信息欺骗（钓鱼）和账号盗取两种形式。针对信息欺骗（钓鱼）的防范措施，是信息合法性检查。即发信人、链接、邮件文本描述、邮件附件皆会校验合法性，如遇非法邮件将被拦截或拒信。解决盗号的有效手段之一，是二次验证结合客户端专用密码。本届会议由公安部第三研究所主办，信息网络安全杂志、公安部网络安全等级保护评估中心、国家网络与信息系统安全产品质量检验检测中心、网络安全等级保护与安全保卫技术国家工程研究中心、信息网络安全公安部重点实验室、北京锐安科技有限公司共同承办。共50 位国内信息网络安全专家就加强网络安全防护体系建设、数据安全共享等展开深人交流。（本刊记者）161